Pergunte a qualquer profissional de segurança qual é a proteção mais eficaz contra hackers e golpistas e todos apontarão para uma ferramenta: autenticação multifator (MFA). Parece que cada login hoje requer a validação da conta (nota: não a identidade) por texto, aplicativo, e-mail ou algum outro canal. O Instituto Nacional de Padrões e Tecnologia ( NIST ) considera o MFA um dos fundamentos da segurança.
A autenticação multifator ainda é uma das melhores defesas cibernéticas, impedindo a maioria dos ataques. Mas, ultimamente, os malfeitores têm se concentrado em hackear o MFA, tornando seus métodos suscetíveis à interceptação.
O Gartner alertou que, com o MFA em uso em todos os lugares, o foco em fatores de autenticação em camadas o tornaria menos eficaz e adicionaria atrito à experiência dos usuários.
A “fadiga push” de notificações frequentes de autenticação pode abrir a porta para ataques semelhantes a phishing por e-mail. Os bandidos podem entrar no meio e solicitar o código MFA de um usuário ou enviar solicitações push falsas (aquelas perguntas perguntando: “Você está entrando em outro dispositivo agora?”), e os usuários, sobrecarregados com notificações constantes, podem facilmente responder automaticamente, dando aos hackers Acesso.
Essa combinação de engenharia social e fadiga de envio estava no centro de algumas violações recentes. O Uber foi hackeado em setembro, apesar de usar autenticação de dois fatores. O hacker obteve acesso obtendo as credenciais de um usuário e enviando repetidas solicitações de autenticação até que o usuário aprovasse uma. Em seguida, o hacker conseguiu se movimentar pela rede, usando o canal Slack do Uber para anunciar sua violação.
Por que o MFA está quebrado
A violação do Uber mostra como os criminosos podem contornar o MFA e por que a metodologia precisa evoluir. Um código único flutuando em e-mail, texto ou até mesmo em um aplicativo autenticador pode ser coagido ou interceptado, que é a raiz do problema. Com o MFA usado por quase todos os sites e aplicativos, o volume de mensagens de autenticação dá cobertura aos hackers.
Existem quatro tipos básicos de MFA:
- Senha de uso único (OTP), um PIN enviado por SMS ou e-mail
- aplicativos OTP
- Aplicativos baseados em push
- biometria
Os códigos SMS mais usados para autenticação do consumidor e da força de trabalho são bastante passíveis de phishing . Aplicativos autenticadores são um passo na direção certa, mas também são passíveis de phishing por hackers.
As notificações por push e a identificação biométrica aumentam um pouco a fasquia, mas, como mostrou a violação do Uber, as notificações por push não são infalíveis.
Alguns desses métodos são o que chamamos de HBA, ou autenticação baseada em esperança, que requer fatores de validação que qualquer pessoa pode inserir em um computador – você apenas espera que seja a pessoa certa. Com o MFA, as redes têm alguns níveis de garantia, mas não sabem quem está por trás dessa autorização.
Há um teste decisivo muito simples: você pode dar a outra pessoa seu fator de autenticação para usar sem você? Se a resposta for sim, você precisa de uma identidade confiável. É tão simples.
Autenticação baseada em ID
A autenticação baseada em identidade, onde você pode olhar para o rosto de alguém, por assim dizer, e saber que o usuário autenticado é o usuário que deveria estar lá, pode ajudar a corrigir esse ambiente de MFA corrompido.
Com a autenticação baseada em identidade, um usuário é verificado de forma segura com fatores difíceis de falsificar, como uma identidade com foto do governo, marcadores biométricos ou algum outro elemento não hackeável, criando uma identidade digital para apresentar sempre que a autenticação for necessária.
Vários padrões estão em vigor para governar essa prova de identidade, como a publicação NIST 800-63 do governo federal , que fornece diretrizes para funcionários e usuários de prova de identidade que se inscrevem em um serviço de gerenciamento de acesso de identidade (IAM) e oferece aos administradores opções para combinar as identidades do usuário perfil de risco e requisitos de acesso.
Agora que os bandidos começaram a obter os fatores de autenticação, é hora de intensificar a prática e aplicar a verificação de identidade a muitos ativos que os CISOs podem não ter considerado.
Organizações como a Kantara Initiative e a FIDO Alliance intensificaram a avaliação da conformidade de sistemas de identidade e provedores de credenciais em relação aos padrões NIST, Kantara certificando os níveis de garantia de uma identidade e FIDO oferecendo uma estrutura para usar criptografia de chave pública e um fator biométrico.
A presença desses órgãos de certificação pode levar os CISOs a agir e impulsionar a autenticação de identidade.
Como corrigir o MFA
Em um processo NIST 800-63, duas formas fortes de identificação são vinculadas a uma identidade do mundo real. A identidade permanece e só pode ser aproveitada pelo usuário, independentemente de qual sistema o usuário tente acessar.
Uma chave privada funciona nos bastidores para controlar o acesso, conectada a um marcador biométrico criptografado para segurança. A autenticação biométrica é uma maneira importante de vincular uma identidade a um usuário com um autenticador. Você não pode dar seu rosto a outra pessoa e há muitas maneiras de impedir que pessoas mal-intencionadas usem uma imagem para enganar as ferramentas de reconhecimento facial.
Uma vez que a prova de identidade é feita, alguns fatores de autenticação fortes são vinculados a ela, como uma carteira de motorista validada pelo departamento emissor de veículos motorizados ou um passaporte. Esse processo acontece em segundos, graças a algoritmos de aprendizado de máquina que combinam o rosto de uma pessoa com o da licença.
Em alguns minutos, você pode ter uma identidade forte que só você controla e pode ser transmitida aos administradores, seja para abrir uma conta bancária ou para uma nova contratação. Compare isso com o RH digitando em dezenas de campos ou confiando que os documentos pertencem à pessoa certa, e é um jogo totalmente novo.
Os hackers tiram proveito do atrito, das constantes solicitações e verificações de redefinição de senha. Uma maneira de fechar esse vetor de ataque seria eliminar completamente as senhas, misturando MFA e autenticação baseada em identidade. A autenticação sem senha está sendo comentada por quase todas as empresas no espaço de identidade porque remove o fator de conhecimento que pode ser roubado.
Chave de acesso equilibra usabilidade e segurança
Um dos desafios com as diretrizes da FIDO foi usar dispositivos como telefones celulares como autenticadores, com os usuários mantendo uma chave lá ou em um computador. Se esse dispositivo fosse perdido, não havia maneira confiável de fazer backup dessa chave. A indústria tem uma resposta agora, a senha FIDO, que está tornando a autenticação sem senha muito mais utilizável no mundo do consumidor.
Ferramentas como chave de acesso estabelecem um equilíbrio entre usabilidade e segurança. O Passkey pode fazer backup de uma chave privada em um armazenamento seguro na nuvem – por exemplo, Apple Keychain – portanto, se o telefone ou o computador for perdido, é uma questão de passar por um processo de restauração, neste caso, por meio da Apple Wallet, que é bem protegida . Outro recurso, a chave pública do dispositivo, permite que apenas um dispositivo autentique a identidade, não outros.
Os padrões FIDO também estão sendo incorporados à autenticação contínua, uma tendência de gerenciamento de identidade na qual o Gartner tem se concentrado ultimamente. É a capacidade de saber continuamente que a pessoa ainda está do outro lado da conexão digital.
No entanto, se você perguntar ao usuário a cada cinco segundos: “Você está aí? Escaneie seu rosto”, eles provavelmente jogarão o telefone porta afora e irão trabalhar em outro lugar. É um equilíbrio entre segurança e usabilidade. Ainda assim, está ficando mais fácil interagir com os usuários, graças à tecnologia que pode autenticar tão rápido quanto passar por um computador ou câmera de telefone.
Conclusão
A jornada de mil milhas começa com o primeiro passo. Uma recomendação para empresas interessadas nesse nível de segurança é escolher dois dos sistemas mais usados — seus sistemas SSO, como Okta, Ping, Foregrock ou Azure AD, e seu sistema operacional (Windows/MAC) e se livrar das senhas lá.
Você aprenderá muito com esses esforços, e as lições aprendidas nessa parte da implantação os ajudarão a descobrir as outras oito ou nove áreas nas quais se concentrar a seguir e como lidar com elas. Além disso, ao lidar com esses dois sistemas de destino, você pode se livrar de mais de 50% de suas senhas e obter uma economia significativa de custos ao longo do caminho, por meio de chamadas de suporte técnico reduzidas e aumentos de produtividade do usuário.
